Безпека з ssh, Linux, Операційні системи, статті

Linux RSP Web Site


Про те, що “ворог не дрімає”, знає кожен. Злі хакери нишпорять по Internetу, в надії чим-небудь поживитися. Тому кожен, хто ставить UNIX (читай Linux)-сервер таємно плекає надію, що його “пронесе”. Але надія – надією, а заходи теж треба приймати.
Звичайно, самий простий і надійний спосіб убезпечитися від злому – це прибрати на комп’ютері всі служби, відключити його від Мережі, вимкнути живлення і заклеїти вимикач скотчем. Але якщо при цьому ще потрібно і справу робити? Тоді можна обмежитися напівзаходами:


Добре, якщо Ваш сервер має власну клавіатуру, монітор і Ви можете його адмініструвати локально, якщо ж ні, то доведеться якийсь вхід залишити …
Чим же поганий звичайний telnet? Будь-який, який звернувся по порту 23, одержує, в кращому випадку, запрошення

login:

а в гіршому

Welcome to abc.def.ru!
Linux-1.2.13
login[root]:


Звідси можна дізнатися тип системи, версію, може бути, навіть апаратну платформу сервера. Коли судили одного хакера, вломитися в військову систему, його адвокати намагалися послатися на те, що стандартна відповідь системи запрошував їх підзахисного увійти (Welcome).
Крім того, telnet-клієнт обмінюється з сервером незашифрованими повідомленнями. Таким чином, всі дані, в тому числі і Ваш пароль, передаються по Мережі у відкритому вигляді. Якщо сервер обраний об’єктом атаки, отримати пароль, а потім його використовувати “за призначенням” не складає труднощів.

Який же вихід?


Вихід винайдений давно. Це secure shell (ssh). Особливість її в тому, що з’єднання встановлюється з аутентифікацією, перевіркою IP-адреси і доменного імені клієнта, а спілкування ведеться по каналу, зашифрованого за допомогою різних алгоритмів, в числі яких DES і 3DES.
Система складається з сервера sshd, який запускається на UNIX-машині, і клієнта ssh, який може запускатися як на інший UNIX-, так і на Windows-машині. Клієнт дозволяє працювати з віддаленим сервером, як telnet.

Установка


Після цього вихідні тексти можна видалити, якщо у Вас, звичайно, немає бажання самому розробити якісь утиліти для ssh або виправити помилки розробників :).

Конфігурування

Власне, оболонка ssh починає працювати відразу після запуску демона командою

sshd


Щоб вона запускалася при старті системи, цю команду потрібно помістити в стартовий командний файл, краще / etc/rc.d/rc.inet2 разом з командами запуску служб inet. На жаль, розробники не передбачили спільну роботу ssh і суперсервере inet, як, наприклад, це робить telnet.
Тепер, пробуємо увійти в цю машину через ssh. Для цього потрібно або поставити такий же пакет на іншу Linux-машину, або встановити пакет ssh для Windows на якусь робочу станцію Windows. Для входу-під Linux достатньо видати команду

ssh hostname


після цього відбувається запит пароля і з’єднання, яке можна перервати комбінацією клавіш Ctrl + D. У Windows-версії Ви вводите ім’я машини, ім’я користувача і пароль в діалоговому вікні, після чого встановлюєте з’єднання. Якщо з’єднання не встановлюється, спробуйте поставити метод кодування повідомлень blowfish (потрійний DES буде пізніше!)
Далі робота в ssh аналогічна роботі з telnet.
Після установки демона sshd в каталозі / etc Вашої Linux-машини з’являться нові файли конфігурації: ssh_conf і sshd_conf. Для того, щоб тепер захистити свій сервер від незаконних вторгнень ззовні, в sshd_conf можна прописати строчку

allowedadress адреси, з яких Ви будете заходити на сервер


Тепер зв’язок можна організовувати з кодуванням як по blowfish, так по DES і 3DES, а всі спроби входу з адрес, не зазначено інше, будуть жорстоко припинятися …

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*